2019年7月12日，美國國防部發(fā)布《國防部數(shù)字現(xiàn)代化戰(zhàn)略》。《戰(zhàn)略》主要由美國國防部首席信息官（DoD CIO）牽頭制定，旨在確保國防部以更高效、更有效的方式執(zhí)行任務，為美國國防部IT現(xiàn)代化領域一系列其他戰(zhàn)略文件提供頂層指導。在《戰(zhàn)略》附錄中列出的在國防領域有應用前景的技術中，將零信任安全（Zero Trust Security）作為了美國國防部優(yōu)先發(fā)展的技術之一。 零信任是一種網(wǎng)絡安全策略，它在整個架構中嵌入安全性，以阻止數(shù)據(jù)泄露。此安全模型消除了信任或不信任的網(wǎng)絡、設備、角色或進程的概念，并轉變?yōu)榛诙鄬傩缘闹眯偶墑e，從而在最低特權訪問概念下啟用身份驗證和授權策略。

　　1

　　零信任安全模式從何而來？

　　在網(wǎng)絡監(jiān)控無處不在的時代，很難確定誰是值得信任的。我們能相信互聯(lián)網(wǎng)流量沒有被監(jiān)聽嗎？當然不能！我們既無法信任提供光纖租用的互聯(lián)網(wǎng)服務商，也無法信任昨天在數(shù)據(jù)中心布線的合同工。“數(shù)據(jù)中心內部的系統(tǒng)和網(wǎng)絡流量是可信的”這一假設是不正確的。現(xiàn)代的網(wǎng)絡設計和應用模式，已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡邊界的安全防護模式逐漸失去原有的價值。因此，網(wǎng)絡邊界的安全防護一旦被突破，即使只有一臺計算機被攻陷，攻擊者也能夠在“安全的”數(shù)據(jù)中心內部自由移動。零信任模型旨在解決“基于網(wǎng)絡邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網(wǎng)絡位置建立信任，而是在不依賴網(wǎng)絡傳輸層物理安全機制的前提下，有效地保護網(wǎng)絡通信和業(yè)務訪問。

　　據(jù)有關機構調查分析，內部人員威脅是造成企業(yè)數(shù)據(jù)泄露的第二大原因。企業(yè)員工、外包人員等內部用戶通常擁有特定業(yè)務和數(shù)據(jù)的合法訪問權限，一旦出現(xiàn)憑證丟失、權限濫用或非授權訪問等問題，往往會導致企業(yè)的數(shù)據(jù)泄漏。外部黑客攻擊是造成企業(yè)數(shù)據(jù)泄露的第一大原因。美國Verizon 公司《2017 年數(shù)據(jù)泄露報告》分析指出，攻擊者滲透進企業(yè)的內網(wǎng)之后，并沒有采用什么高明的手段竊取數(shù)據(jù)，81% 的攻擊者只是利用偷來的憑證或者“爆破”得到的弱口令，就輕而易舉地獲得了系統(tǒng)和數(shù)據(jù)的訪問權限。造成數(shù)據(jù)泄露的兩大原因值得我們深入思考：企業(yè)的安全意識在不斷提高，網(wǎng)絡安全防護體系建設的投入也在不斷加大，為什么類似數(shù)據(jù)泄露這樣的安全事件并沒有得到很好的遏制，反而有愈演愈烈的趨勢？我們在企業(yè)網(wǎng)絡安全體系建設上忽視了什么？提到網(wǎng)絡安全防護，人們第一時間會考慮如何對抗具體的威脅。例如，通過消費威脅情報構建積極防御能力，對抗高級威脅、APT 攻擊等。這些防護措施當然必不可少，而且必須隨著威脅的升級持續(xù)演進。但是，在企業(yè)構建網(wǎng)絡安全體系的過程中，人們往往忽視最基礎的架構安全能力建設。網(wǎng)絡安全架構往往伴隨IT 技術架構的變革不斷演進，而數(shù)字化轉型的技術本質恰恰是IT 技術架構的劇烈變革。在新的IT 技術架構下，傳統(tǒng)的網(wǎng)絡安全架構理念如果不能隨需應變，自然會成為木桶最短的那塊木板。

　　傳統(tǒng)的網(wǎng)絡安全架構理念是基于邊界的安全架構。企業(yè)構建網(wǎng)絡安全體系時，首先尋找安全邊界，把網(wǎng)絡劃分為外網(wǎng)、內網(wǎng)、隔離區(qū)（DMZ）等不同的區(qū)域，然后在邊界上通過部署防火墻、WAF、IPS 等網(wǎng)絡安全產(chǎn)品/ 方案進行重重防護，構筑企業(yè)業(yè)務的數(shù)字護城河。這種網(wǎng)絡安全架構假設或默認了內網(wǎng)比外網(wǎng)更安全，在某種程度上預設了對內網(wǎng)中的人、設備和系統(tǒng)的信任，從而忽視內網(wǎng)安全措施的加強。于是，攻擊者一旦突破企業(yè)的網(wǎng)絡安全邊界進入內網(wǎng)，常常會如入無人之境。此外，云計算等的快速發(fā)展導致傳統(tǒng)的內外網(wǎng)邊界模糊，很難找到物理上的安全邊界。企業(yè)自然無法基于傳統(tǒng)的安全架構理念構筑安全基礎設施，只能訴諸于更靈活的技術手段對動態(tài)變化的人、設備、系統(tǒng)進行識別、認證、訪問控制和審計，以身份為中心的訪問控制成為數(shù)字時代架構安全的第一道關口。零信任安全架構正是擁抱了這種技術趨勢，從而成為數(shù)字時代網(wǎng)絡安全架構演進的必然選擇。

　　2

　　什么是零信任安全

　　零信任網(wǎng)絡的概念建立在以下5個基本假定之上。

　　* 網(wǎng)絡無時無刻不處于危險的環(huán)境中。

　　* 網(wǎng)絡中自始至終存在外部或內部威脅。

　　*  網(wǎng)絡的位置不足以決定網(wǎng)絡的可信程度。

　　*  所有的設備、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權。

　　*  所有的設備、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權。

　　*  安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計算而來。

　　傳統(tǒng)的網(wǎng)絡安全結構把不同的網(wǎng)絡（或者單個網(wǎng)絡的一部分）劃分為不同的區(qū)域，不同區(qū)域之間使用防火墻進行隔離。每個區(qū)域都被授予某種程度的信任，它決定了哪些網(wǎng)絡資源允許被訪問。這種安全模型提供了非常強大的縱深防御能力。比如，互聯(lián)網(wǎng)可訪問的Web服務器等高風險的網(wǎng)絡資源，被部署在特定的區(qū)域（一般稱為“隔離區(qū)”，DMZ），該區(qū)域的網(wǎng)絡流量被嚴密監(jiān)控和嚴格控制。這是一種常見的網(wǎng)絡安全架構，如圖1所示。

　　圖1　傳統(tǒng)的網(wǎng)絡安全架構

　　零信任模型徹底改變了這種安全架構。傳統(tǒng)的網(wǎng)絡分區(qū)與隔離安全模型在過去發(fā)揮了積極作用，但是現(xiàn)在卻疲于應對高級的網(wǎng)絡攻擊。傳統(tǒng)的安全模型主要有以下缺點。

　　*   缺乏網(wǎng)絡內部的流量檢查。

　　*   主機部署缺乏物理及邏輯上的靈活性。

　　*  存在單點故障。

　　需要關注的是，如果基于網(wǎng)絡位置劃分區(qū)域的需求消失了，那么對VPN的需求也就消失了。VPN的作用是對用戶進行身份認證并分配IP地址，然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h程網(wǎng)絡，然后進行數(shù)據(jù)包的解封裝和路由。或許人們從來沒有想過，在某種程度上，VPN是一種不會遭人懷疑的后門。

　　如果網(wǎng)絡的位置對于網(wǎng)絡安全失去價值，那么諸如VPN等網(wǎng)絡安全設備也會失去其原有的價值。當然，這也迫使我們把安全控制的實施點盡可能地前推到網(wǎng)絡邊緣，這同時也減輕了網(wǎng)絡核心設備的安全責任。此外，大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻，交換和路由技術的進展也為在網(wǎng)絡邊緣部署高級功能創(chuàng)造了機會。將所有這些改變帶來的收益匯集在一起，得出一個結論：是時候進行網(wǎng)絡安全架構的范式轉換了。利用分布式策略實施和應用零信任原則，可以構建如圖2所示的網(wǎng)絡安全架構。

　　圖2 零信任網(wǎng)絡安全架構

　　3

　　零信任的技術方案與實踐特點

　　零信任架構重新評估和審視了傳統(tǒng)的邊界安全架構，并給出了新思路：應該假設網(wǎng)絡自始至終充滿外部和內部威脅，不能僅憑網(wǎng)絡位置來評估信任；默認情況下不應該信任網(wǎng)絡內部或外部的任何人、設備、系統(tǒng)，需要基于認證和授權重構訪問控制的信任基礎；并且訪問控制策略應該是動態(tài)的，基于設備和用戶的多源環(huán)境數(shù)據(jù)計算得來。零信任對訪問控制進行了范式上的顛覆，引導網(wǎng)絡安全架構從“網(wǎng)絡中心化”走向“身份中心化”。從技術方案層面來看，零信任安全架構是借助現(xiàn)代身份管理技術實現(xiàn)對人、設備和系統(tǒng)的全面、動態(tài)、智能的訪問控制。

　　零信任架構的技術方案包含：業(yè)務訪問主體、業(yè)務訪問代理和智能身份安全平臺，三者之間的關系如下圖3所示。

　　圖3  零信任架構的技術方案

　　業(yè)務訪問主體：是業(yè)務請求的發(fā)起者，一般包括用戶、設備和應用程序三類實體。在傳統(tǒng)的安全方案中，這些實體一般單獨進行認證和授權，但在零信任架構中，授權策略需要將這三類實體作為一個密不可分的整體來對待，這樣可以極大地緩解憑證竊取等安全威脅。零信任架構落地實踐中，常常將其簡化為用戶和設備的綁定關系。

　　業(yè)務訪問代理：是業(yè)務訪問數(shù)據(jù)平面的實際控制點，是強制訪問控制的策略執(zhí)行器。所有業(yè)務都隱藏在業(yè)務訪問代理之后，只有完成設備和用戶的認證，并且業(yè)務訪問主體具備足夠的權限，業(yè)務訪問代理才對其開放業(yè)務資源，并建立起加密的業(yè)務訪問數(shù)據(jù)通道。

　　智能身份平臺：是零信任架構的安全控制平面。業(yè)務訪問主體和業(yè)務訪問代理分別通過與智能身份安全平臺的交互，完成信任的評估和授權過程，并協(xié)商數(shù)據(jù)平面的安全配置參數(shù)。現(xiàn)代身份管理平臺非常適合承擔這一角色，完成身份認證、身份治理、動態(tài)授權和智能分析等任務。

　　4

　　零信任架構的技術實踐具有以下特點

　　以身份為中心：零信任的本質是以身份為中心進行動態(tài)訪問控制，全面身份化是實現(xiàn)零信任的前提和基石。基于全面身份化，為用戶、設備、應用程序、業(yè)務系統(tǒng)等物理實體建立統(tǒng)一的數(shù)字身份標識和治理流程，并進一步構筑動態(tài)訪問控制體系，將安全邊界延伸至身份實體。

　　持續(xù)身份認證：零信任架構認為一次性的身份認證無法確保身份的持續(xù)合法性，即便是采用了強度較高的多因子認證，也需要通過持續(xù)認證進行信任評估。例如，通過持續(xù)地對用戶訪問業(yè)務的行為、操作習慣等進行分析、識別和驗證，動態(tài)評估用戶的信任度。動態(tài)訪問控制：傳統(tǒng)的訪問控制機制是宏觀的二值邏輯，大多基于靜態(tài)的授權規(guī)則、黑白名單等技術手段進行一次性的評估。零信任架構下的訪問控制基于持續(xù)度量的思想，是一種微觀判定邏輯，通過對業(yè)務訪問主體的信任度、環(huán)境的風險進行持續(xù)度量并動態(tài)判定是否授權。主體的信任度評估可以依據(jù)采用的認證手段、設備的健康度、應用程序是否企業(yè)分發(fā)等等；環(huán)境的評估則可能包括訪問時間、來源IP 地址、來源地理位置、訪問頻度、設備相似性等各種時空因素。

　　智能身份分析：零信任架構提倡的持續(xù)認證、動態(tài)訪問控制等特性會顯著地增加管理開銷，只有引入智能身份分析，提升管理的自動化水平，才能更好地實現(xiàn)零信任架構的落地。智能身份分析可以幫助我們實現(xiàn)自適應的訪問控制，還能夠對當前系統(tǒng)的權限、策略、角色進行分析，發(fā)現(xiàn)潛在的策略違規(guī)并觸發(fā)工作流引擎進行自動或人工干預的策略調整，實現(xiàn)治理的閉環(huán)。

　　5

　　結    語

　　基于零信任推動企業(yè)網(wǎng)絡安全架構的重構應該上升到企業(yè)數(shù)字化轉型的戰(zhàn)略層面，與業(yè)務規(guī)劃同步進行，并明確愿景和路線圖，成立專門的組織，指派具有足夠權限的負責人，才能保障零信任安全的落地和逐步實施。數(shù)字時代，零信任架構必將成為企業(yè)網(wǎng)絡安全的新范式。企業(yè)機構應當開放心態(tài)，積極擁抱這種理念的變化，務實推動零信任架構的落地實踐，為數(shù)字時代的企業(yè)網(wǎng)絡安全保駕護航。